Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Contenido
1.0 Introducción
2.5 Caché
4.4 Escenario 4: crear una red perimetral mediante el Asistente para plantillas de red
1.0 Introducción
Microsoft® Internet Security and Acceleration (ISA) Server 2004 presenta la compatibilidad con varias redes, una configuración sencilla y muy
integrada de las redes privadas virtuales, modelos de usuario y de autenticación ampliados y ampliables, y mejoras en las características de
administración, incluidas la exportación e importación de configuraciones.
● Utiliza otro servidor de seguridad y es la primera vez que usa el servidor ISA.
● Desea configurar el servidor ISA en un laboratorio y utiliza un tutorial guiado para aprender a implementar el servidor ISA en su
compañía. Para obtener detalles, vea el tutorial acerca de las características.
Después de leer este manual, y para obtener más información acerca de las características y la funcionalidad del servidor ISA, consulte la Ayuda
del servidor ISA.
Este documento incluye información general acerca de las nuevas características del producto de esta versión de ISA Server 2004. Asimismo,
proporciona instrucciones de instalación. Y lo que es más importante, incluye tutoriales cuyos ejemplos puede probar en un entorno de
laboratorio para familiarizarse con las características del producto. La mejor forma de comprender estas características es usarlas; por lo tanto,
le aconsejamos que configure un laboratorio y ponga en práctica el contenido de los tutoriales incluidos. Para obtener detalles, vea el tutorial
acerca de las características.
La mayor parte de la información contenida en este documento también está disponible en formato electrónico, integrado en la Ayuda en
pantalla del servidor ISA.
Volver a Contenido
La siguiente tabla muestra las características nuevas y mejoradas de ISA Server 2004. Se proporcionan más detalles en las siguientes secciones.
Redes múltiples
Nueva o mejorada Característica Descripción
Nuevo Configuración de redes múltiples Puede configurar una o varias redes relacionadas entre sí mediante relaciones
distintas. Las directivas de acceso se definen en relación con las redes y no
necesariamente en relación con una red interna dada. Mientras que en ISA
Server 2000 se inspeccionaba todo el tráfico relativo a la tabla de direcciones
locales (LAT, Local Address Table), que sólo incluía intervalos de direcciones de la
red interna, ISA Server 2004 amplía las características del servidor de seguridad y
de la seguridad, y ahora se aplican también al tráfico entre cualquier red.
Nuevo Directivas únicas por red Las nuevas características de múltiples redes del servidor ISA permiten proteger la
red contra amenazas internas y externas a la seguridad, ya que limitan la
comunicación entre clientes, incluso dentro de la propia organización. Las
funciones de redes múltiples admiten entornos complejos de red perimetral
(conocida también como DMZ, zona desmilitarizada o subred protegida), lo que
permite configurar la forma en que los clientes de redes diferentes tienen acceso a
la red perimetral.
Nuevo Inspección completa de todo el tráfico Puede examinar los datos que pasan por el servidor de seguridad respecto a su
protocolo y al estado de la conexión, independientemente del origen o destino.
Nuevo NAT y relaciones de redes enrutadas El servidor ISA se puede utilizar para definir las relaciones entre redes, en función
del tipo de acceso y de comunicación permitido entre las redes. En algunos casos,
tal vez desee una comunicación más segura y menos transparente entre las redes.
Para estos entornos puede definir una relación NAT (traducción de direcciones de
red). En otros, quizá desee enrutar el tráfico a través del servidor ISA. En estos
casos, puede definir una relación de enrutamiento.
Nuevo Plantillas de red El servidor ISA incluye plantillas de red, que se corresponden con topologías de red
comunes. Puede utilizarlas para configurar la directiva de servidor de seguridad del
tráfico entre redes. Al aplicar una plantilla de red, el servidor ISA crea el conjunto
necesario de reglas para permitir el tráfico, según la directiva especificada.
Nuevo Interoperabilidad con soluciones VPN de terceros Gracias a la compatibilidad con el sistema de seguridad de Protocolo
Internet (IPSec, Internet Protocol Security) estándar de la industria, ISA
Server 2004 se puede conectar a entornos con infraestructuras VPN
existentes de otros proveedores, incluidos los que emplean las
configuraciones del modo de túnel IPSec para conexiones de sitio a sitio.
Nuevo Control de cuarentena El servidor ISA puede poner en cuarentena a determinados clientes
VPN, pasándolos a la red de clientes VPN en cuarentena, hasta que se
compruebe que cumplen con los requisitos de seguridad corporativos.
Caché
Nueva o mejorada Característica Descripción
Mejorada Reglas de caché Con el mecanismo centralizado de reglas de caché del servidor ISA, puede configurar la forma en que los
objetos almacenados en la caché se recuperan y se sirven desde ésta.
Administración
Nueva o mejorada Característica Descripción
Mejorada Administración El servidor ISA incluye características de administración nuevas que facilitan la protección de las
redes. Las características nuevas de la interfaz de usuario incluyen: un panel de tareas, una ficha
Ayuda, un asistente de introducción mejorado y una nueva apariencia para el editor de directivas
del servidor de seguridad.
Nuevo Exportar e importar ISA Server introduce la capacidad de exportar e importar información de la configuración. Esta
característica se puede utilizar para guardar los parámetros de configuración en un archivo .xml
y, seguidamente, exportar la información de configuración del archivo a otro servidor; de esta
forma, se permite la replicación sencilla de las configuraciones del servidor de seguridad para
implementaciones multisitio.
Nuevo Escritorio digital En una sola vista se muestra una versión resumida de la información clave de supervisión. Si
detecta un problema, puede abrir vistas de supervisión detallada para obtener más información.
Nuevo Visor de registro El visor de registro del servidor ISA muestra los registros del servidor de seguridad en tiempo
real. Puede mostrar registros en los modos de tiempo real en línea o de revisión del histórico.
Puede aplicar filtros a los campos del registro con el fin de identificar entradas específicas.
Mejorada Generación de informes Puede generar informes repetitivos o únicos sobre el uso de Web, de aplicaciones, patrones de
tráfico de red y seguridad.
Volver a Contenido
Anteriormente, el concepto de una red interna significaba que todos los equipos estaban ubicados en su organización. La red externa estaba
formada por todos los equipos situados fuera de la organización, a los que generalmente se tenía acceso a través de Internet. El punto de vista
actual de red incluye a los usuarios que tienen acceso a sus redes corporativas mediante equipos portátiles, que se convierten así en parte
virtual de las distintas redes. Las sucursales se conectan a las sedes centrales y prefieren utilizar los recursos de éstas como si formaran parte
de la red. Muchas organizaciones ponen a disposición pública los servidores de la red corporativa, sobre todo los servidores web, pero desean
hacerlo separando esos servidores en una red distinta. La funcionalidad de redes múltiples del servidor ISA permite proteger estos entornos de
redes más complejos. La compatibilidad con redes múltiples afecta a la mayoría de las características de servidor de seguridad del servidor ISA.
Puede utilizar las nuevas características de redes múltiples del servidor ISA para proteger la red contra amenazas internas y externas a la
seguridad, ya que limitan la comunicación entre clientes, incluso dentro de la propia organización. Puede especificar relaciones entre las diversas
redes definidas en el servidor ISA y determinar, de este modo, la forma en que se comunican los equipos de cada red entre sí mediante el
servidor ISA. Asimismo puede agrupar equipos en objetos de red del servidor ISA como conjuntos de equipos e intervalos de direcciones, y
configurar una directiva de acceso específica para cada objeto de red.
En un entorno de publicación normal, quizá prefiera aislar los servidores publicados en su propia red, como una red perimetral. La funcionalidad
de redes múltiples del servidor ISA es compatible con tal entorno, para que pueda configurar la forma en que tienen acceso los clientes de la red
corporativa y de Internet a la red perimetral. Puede configurar las relaciones entre las diversas redes y definir directivas de acceso diferentes
entre cada red. La configuración de la topología de una red perimetral se facilita mediante las plantillas de red y los asistentes para plantillas de
red del servidor ISA.
En la siguiente ilustración se muestra un entorno de redes múltiples.
En la figura, el equipo servidor ISA se conecta entre Internet (red externa), la red corporativa (red interna) y la red perimetral. Los tres
adaptadores de red se encuentran en el equipo servidor ISA y cada uno de ellos está conectado a una de las redes. Mediante el servidor ISA,
puede configurar las distintas directivas de acceso entre cualquier par de redes. Puede determinar si se comunican los equipos de cada una de
las redes entre sí y cómo lo hacen. Cada red está aislada de la otra y sólo se puede tener acceso a ella cuando se configuren las reglas que
permitan la comunicación.
Para implementar los entornos de redes múltiples, el servidor ISA presenta los siguientes conceptos:
● Redes. Desde la perspectiva del servidor ISA, una red es un elemento de regla que puede contener uno o varios intervalos de direcciones
IP y de dominios. Las redes incluyen uno o varios equipos, que siempre se corresponden con un adaptador de red específico en el equipo
servidor ISA. Puede aplicar reglas a una o varias redes.
● Objetos de red. Después de crear las redes, puede agruparlas en conjuntos de objetos de red: subredes, intervalos de direcciones,
conjuntos de equipos, conjuntos de direcciones URL o conjuntos de nombres de dominio. Las reglas se pueden aplicar a redes o a objetos
de red.
● Reglas de red. Puede configurar reglas de red para definir y describir una topología de red. Las reglas de red determinan si existe
conectividad entre dos redes, así como el tipo de conectividad que se permitirá. Las redes se pueden conectar de una de estas formas:
traducción de direcciones de red (NAT) o enrutamiento.
● Interna. Después de la instalación, esta red incluye todos los equipos (direcciones IP) asociados con la tarjeta de direcciones de red
interna del equipo servidor ISA.
● Host local. Esta red representa el equipo servidor ISA. La red del host local no se puede modificar ni eliminar.
● Clientes de VPN en cuarentena. Esta red incluye las direcciones de los clientes de VPN que aún no han sido aprobados para tener
acceso a la red corporativa. Normalmente, los equipos de esta red tienen acceso limitado a la red corporativa.
● Clientes de VPN. Esta red contiene las direcciones de los clientes de VPN actualmente conectados. Se actualiza dinámicamente a medida
que los clientes de VPN se conectan o desconectan del equipo servidor ISA. La red de clientes de VPN no se puede eliminar.
Las redes del host local, de clientes de VPN y externas son redes integradas, que el usuario no puede eliminar ni crear. La red interna es una red
predefinida, que se crea durante el proceso de instalación y se puede modificar o eliminar.
Los conjuntos de redes se pueden configurar para incluir redes específicas. Como alternativa, estos conjuntos se pueden definir para que no
incluyan (es decir, excluyan) redes específicas.
Estas reglas se pueden aplicar a redes, a conjuntos de redes o a objetos de red:
● Reglas de red
● Reglas de acceso
● Reglas de publicación
En lo que respecta a las reglas de acceso, especifique una red de destino y una de origen a las que se va a aplicar la regla. La red de origen
indica las redes que tienen acceso o no a las redes de destino especificadas. Por lo que respecta a las reglas de publicación, especifique una red
de origen con acceso a un equipo específico.
● Ruta. Al especificar este tipo de conexión, las peticiones de clientes de la red de origen se retransmiten directamente a la red de destino.
La dirección de cliente de origen se incluye en la petición. Una regla de red de enrutamiento se puede utilizar al publicar un servidor
ubicado en la red perimetral.
Las relaciones de redes de enrutamiento son bidireccionales. Si una relación de enrutamiento se define desde la red A a la B, también existe una
relación de enrutamiento desde la red B a la A. A la inversa, las relaciones NAT son únicas y unidireccionales. Si se define una relación NAT
desde la red A a la B, no se puede definir ninguna relación de red desde B a A. Puede crear una regla de red que defina ambas relaciones, pero
el servidor ISA omitirá la segunda regla de red en la lista de reglas ordenadas.
Durante el proceso de instalación, se crean las siguientes reglas predeterminadas:
● Acceso a host local. Esta regla define una relación de enrutamiento entre la red del host local y el resto de las redes.
● De clientes de VPN hacia la red interna. Esta regla define una relación de enrutamiento entre las dos redes de clientes de VPN
(clientes de VPN y clientes de VPN en cuarentena) y la red interna.
● Acceso a Internet. Esta regla define una relación NAT entre la red interna y la externa.
Al instalar el servidor ISA se crea una directiva del sistema predeterminada. La directiva del sistema define las reglas de acceso entre el equipo
servidor ISA y las redes conectadas a él para el acceso de recursos específicos.
Nota: Todas las categorías de la directiva del sistema están habilitadas de forma predeterminada al instalar el servidor ISA y la directiva se
aplica específicamente a la red interna. Puede modificar la configuración de la directiva del sistema. Se recomienda deshabilitar las categorías de
esta directiva que no sean necesarias en la configuración del servidor ISA.
La directiva del sistema contiene las siguientes categorías:
● Servicios de red
● Servicios de autenticación
● Administración remota
● Servicios de diagnóstico
● Registro
● Supervisión remota
● Varios
Al habilitar o deshabilitar un grupo de configuración de la directiva del sistema o un elemento de un grupo de configuración, el servidor ISA
habilita o deshabilita las reglas de acceso de la directiva del sistema.
Volver a Contenido
El servidor ISA le ayuda a configurar y proteger una red privada virtual (VPN). Una red VPN es un conjunto de equipos conectados a la red
corporativa de forma segura desde ubicaciones remotas de Internet. Con una red privada virtual, puede enviar datos entre dos equipos a través
de una red compartida o pública de forma que emula un vínculo privado punto a punto.
Las conexiones VPN permiten que los usuarios que trabajan en casa o que están en otros sitios remotos puedan obtener conexión de acceso
remoto al servidor de una organización mediante la infraestructura que proporciona una red pública como Internet. Desde la perspectiva del
usuario, la red privada virtual es una conexión punto a punto entre el equipo (el cliente de VPN) y el servidor de la organización (el equipo
servidor ISA). La infraestructura exacta de la red compartida o pública es irrelevante, ya que parece como si los datos se enviaran a través de
un vínculo privado dedicado.
Las conexiones VPN también permiten que las organizaciones dispongan de conexiones enrutadas con otras organizaciones a través de una red
pública como Internet, a la vez que mantienen una comunicación segura; por ejemplo, entre las oficinas que están separadas geográficamente.
Una conexión VPN enrutada a través de Internet funciona lógicamente como vínculo de red de área extensa (WAN, Wide Area Network) dedicada.
Hay dos tipos de conexiones VPN:
● Conexión VPN de acceso remoto. Un cliente realiza una conexión VPN de acceso remoto que se conecta a una red privada. El servidor
ISA proporciona acceso a toda la red a la que está conectado el servidor VPN.
● Conexiones VPN de sitio a sitio. Un servidor VPN realiza una conexión VPN de sitio a sitio que conecta dos partes de una red privada
de forma segura. El servidor ISA proporciona una conexión a la red a la que está conectado el equipo servidor ISA.
Mediante el uso del equipo servidor ISA como servidor VPN, se beneficia de la protección de la red corporativa contra conexiones VPN
malintencionadas. Puesto que el servidor VPN está integrado en la funcionalidad del servidor de seguridad, los usuarios de VPN están sujetos a
la directiva de acceso del servidor ISA definida para la red de clientes de VPN preconfigurada. Todos los clientes de VPN pertenecen a la red de
clientes de VPN y tienen acceso a los recursos de la red interna de acuerdo con una directiva predefinida.
Aunque los usuarios de VPN forman parte virtualmente del intervalo de direcciones de la red interna, no están sujetos necesariamente a la
directiva de acceso de esta red, y se puede configurar específicamente en el servidor ISA. Se pueden configurar reglas especiales para permitir
el acceso a los usuarios a los recursos de la red.
Puesto que se puede configurar una directiva de acceso para la red de clientes de VPN, estos clientes están sujetos a los mismos mecanismos de
inspección completa que cualquier cliente que se comunica entre redes mediante el servidor ISA.
Todas las conexiones VPN al equipo servidor ISA están conectadas al registro del servidor de seguridad. De esta forma puede auditar las
conexiones VPN.
Al configurar la red VPN, puede reservar un grupo de direcciones IP estáticas para los equipos de los usuarios de VPN. Cuando un cliente de VPN
se conecta a la red local, se le asigna una dirección IP de este grupo de direcciones. Como alternativa, quizá prefiera tener direcciones IP
asignadas dinámicamente a los clientes de VPN, mediante un servidor de protocolo de configuración dinámica de host (DHCP, Dynamic Host
Configuration Protocol). La dirección IP se agrega a la red de clientes de VPN.
Además, puede habilitar el modo de cuarentena para la red VPN. De esta forma, se asegura que se comprueba el cumplimiento de la directiva
de software corporativa por parte de un cliente antes de que se pueda unir a la red de clientes de VPN, normalmente con acceso ilimitado a la
red interna. El control de cuarentena proporciona acceso posible a la red a los clientes de (VPN) remotos y restringe su acceso a un modo de
cuarentena antes de permitirles tener acceso a la red realmente. Una vez que la configuración del equipo cliente cumple o se tiene intención de
que cumpla las restricciones de cuarentena específicas de la organización, se aplica la directiva estándar de VPN a la conexión en función del tipo
de cuarentena especificado. Por ejemplo, las restricciones de la cuarentena pueden especificar que determinado software antivirus se instale y
se habilite mientras está conectado a la red. Aunque el control de cuarentena no ofrece protección contra los intrusos, sí puede comprobar las
configuraciones de los equipos de usuarios autorizados y, en caso necesario, corregirlas antes de que puedan tener acceso a la red. También
está disponible una opción de temporizador, que se puede usar para especificar un intervalo con el fin de finalizar la conexión en caso de que el
cliente no cumpla los requisitos de configuración. Para obtener más información, vea el documento Clientes de VPN móviles en ISA Server 2004.
Puede crear dos directivas distintas para cada una de las redes de clientes de VPN:
● Red de clientes de VPN en cuarentena. Restrinja el acceso a los servidores desde los que el cliente puede descargar las
actualizaciones necesarias para cumplir con la directiva de software.
● Red de clientes de VPN. Puede permitir el acceso a todos los recursos corporativos (red interna) o restringirlo cuando lo considere
oportuno. La red de clientes de VPN tendrá una relación NAT con la red externa. Se configurará una regla de red que defina la relación
NAT entre las redes VPN y externa.
Volver a Contenido
Con la nueva funcionalidad del servidor ISA, puede aplicar la directiva de acceso a los usuarios de Windows o a usuarios autenticados mediante
los distintos mecanismos de autenticación (espacios de nombres), como el servicio de usuario de marcado con autenticación remota (RADIUS,
Remote Authentication Dial-In User Service). El servidor ISA admite los mecanismos de autenticación siguientes:
● Clientes proxy Web. Autenticación básica, mediante los servicios de directorio de Active Directory® o RADIUS, autenticación implícita,
autenticación Windows integrada o certificados.
● Clientes de VPN. Protocolo de autenticación por desafío mutuo (CHAP, Challenge Handshake Authentication Protocol), Protocolo de
autenticación por desafío mutuo de Microsoft (MS-CHAP, Microsoft Challenge Handshake Authentication Protocol), MS-CHAP versión 2,
Protocolo de autenticación extensible (EAP, Extensible Authentication Protocol) y RADIUS.
El servidor ISA presenta un mecanismo de extensibilidad de autenticación que permite que los proveedores de terceros implementen esquemas
de autenticación adicionales.
Puede utilizar el servidor ISA para aplicar las directivas de acceso o de publicación a usuarios o direcciones IP específicos. Los usuarios se
pueden agrupar en conjuntos de usuarios y se pueden aplicar las reglas a los conjuntos de usuarios. Al crear un conjunto de usuarios, puede
agregar los usuarios de Windows, RADIUS y SecurID al conjunto. Después puede aplicar las reglas de acceso a este conjunto.
Volver a Contenido
2.5 Caché
Mediante las reglas de caché, puede especificar los tipos de contenido almacenados en caché, así como la forma en que se atienden los objetos
desde ella. En función de las necesidades de la organización, las reglas de caché se pueden aplicar al contenido de todos los sitios o al que
procede de sitios específicos, así como a todos los tipos de contenidos o a tipos específicos. Además, se puede limitar la cantidad de tiempo que
los objetos se consideran válidos y la forma en que las reglas de caché controlan los objetos caducados.
De forma predeterminada, un objeto se almacena en la caché sólo si sus encabezados del origen y de la petición así lo indican. Sin embargo,
puede especificar los objetos que se almacenan en función de las siguientes opciones:
● Nunca, ningún contenido se almacenará en caché. Esta opción deshabilita el almacenamiento en caché para esta regla.
● Si los encabezados del origen y la petición indican que debe almacenarse. Un objeto se almacena en caché si así lo indican los
encabezados.
● Contenido para exploración sin conexión. Incluye las respuestas 302 y 307.
● Contenido que requiere autenticación de usuario para recuperarse. Se requiere la autenticación del usuario.
Mediante la configuración de las reglas de caché, puede definir si se habilitará el almacenamiento en caché para las respuestas del protocolo de
transferencia de hipertexto (HTTP, Hypertext Transfer Protocol), del protocolo de transferencia de archivos (FTP, File Transfer Protocol) y de la
capa de sockets seguros (SSL, Secure Sockets Layer). Además, puede configurar la regla de caché para limitar el contenido almacenado en
caché en función del tamaño del archivo.
Los objetos HTTP y FTP almacenados en caché caducan en función de la configuración del periodo de vida (TTL, Time to Live). Por lo que
respecta a los objetos HTTP, la caducidad se configura en función del TTL, definido en el encabezado de respuesta, y de los límites de TTL
definidos en la regla de caché. Los límites de TTL se calculan como porcentaje de edad de contenido, que es la cantidad de tiempo transcurrido
desde la creación o modificación de un objeto. Los objetos FTP caducan según el TTL definido para los objetos FTP en la regla de caché.
Como parte de la configuración de las reglas de caché, puede definir la forma en que los objetos almacenados en caché se recuperan y se
atienden desde ésta. Antes de que el servidor ISA determine cómo se enrutará la petición, como se define en las reglas de enrutamiento de red,
el servidor ISA comprueba si existe una copia válida del objeto en la caché. Un objeto se considera válido si su periodo TTL no ha caducado,
como se especifica en las propiedades de almacenamiento en caché de HTTP o en el propio objeto. En función de la configuración de las
propiedades de caché de la regla de enrutamiento, el servidor ISA recuperará el objeto de la caché. Puede configurar el servidor ISA para que
realice una de las acciones siguientes:
● Recuperar un objeto de la caché, sólo si el objeto sigue allí. Si un objeto no es válido, la petición se enruta al servidor y se recupera.
● Recuperar un objeto de la caché, independientemente de que siga siendo válido o no. Si no hay ninguna versión del objeto en la caché, la
petición se enruta al servidor.
● No enrutar nunca la petición. Si no se encuentra ninguna versión del objeto en la caché, se devuelve una página de error.
Las reglas de caché tienen un orden, y la regla de caché predeterminada es la última que se procesa. Para cada nueva conexión, el equipo
servidor ISA procesa las reglas de caché por orden (es decir, la primera regla es la que se procesa primero). Si la petición cumple las
condiciones especificadas por la regla, la petición se enruta, redirige y almacena en la caché según sea necesario. De lo contrario, se procesa la
regla siguiente. Este proceso continúa hasta que se procesa y aplica a la petición la última regla predeterminada.
Al instalar el servidor ISA, éste configura una regla de caché predeterminada. La regla predeterminada se configura inicialmente de forma que
sólo se pueden recuperar de la caché del servidor ISA los objetos que sean válidos. Si el objeto de la caché no es válido, se recuperará
directamente de Internet. No es posible modificar la forma en que la regla de caché predeterminada recupera los objetos.
Volver a Contenido
El servidor ISA incluye una característica de exportación e importación que puede utilizar para guardar los parámetros de configuración del
servidor en un archivo .xml y, a continuación, importar la información desde el archivo a otro servidor. Puede guardar la configuración en
cualquier directorio y con cualquier nombre de archivo para el que tenga permisos de escritura.
Al exportar una configuración, se exporta toda la información de configuración general de forma predeterminada. Se incluyen las reglas de
directivas de acceso y de publicación, los elementos de regla, la configuración de alertas, la configuración de la caché y las propiedades del
servidor ISA. Se puede exportar parte de la información de configuración específica del servidor, si lo selecciona así. Además, puede decidir
exportar la configuración de permisos de usuario y la información confidencial, como las contraseñas de usuario. Se cifra la información
confidencial incluida en el archivo exportado. Al importar el archivo, se requiere una contraseña para abrir y descifrar esta información. Esta
contraseña se establece durante el proceso de exportación.
Al exportar un objeto específico, se exportan los siguientes elementos:
● El objeto especificado, incluidos todos los valores de propiedades.
● Todos los objetos descendientes contenidos en la jerarquía, empezando por el objeto especificado.
Por ejemplo, si exporta una regla de acceso, también se exportan los conjuntos de objetos y de usuarios de la red utilizados en la creación de
Antes de instalar este software, consulte las notas sobre la versión incluidas en el CD.
Antes de instalar el servidor ISA, debe instalar el hardware y configurar el software del equipo en el que se ejecutará este servidor.
● 150 MB de espacio en disco duro disponible. Este espacio en disco excluye el que pueda necesitar el almacenamiento en caché.
● Un adaptador de red compatible con el sistema operativo del equipo para las comunicaciones con la red interna
● Un adaptador de red adicional para cada red conectada al equipo servidor ISA
● Una partición del disco duro local con el formato del sistema de archivos NTFS.
Nota Puede utilizar el servidor ISA en un equipo que sólo tenga un adaptador de red. Normalmente, llevará a cabo esta tarea cuando
otro servidor de seguridad se encuentre en los límites de la red, conectando los recursos de la empresa a Internet. En este escenario
de un adaptador único, el servidor ISA suele proporcionar una capa adicional de protección de filtrado de aplicaciones a los servidores
publicados, o bien para almacenar en caché el contenido de Internet. Para obtener más información, vea Equipos servidor ISA con un
único adaptador de red.
Advertencia: No instale el servidor ISA en un equipo multiprocesador con más de cuatro procesadores.
Volver a Contenido
El servidor ISA necesita tanto un servidor de sistema de nombres de dominio (DNS, Domain Name System) como un servidor de protocolo de
configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol). Recomendamos tener ambos instalados en un equipo en que se
ejecute Windows Server 2003 o Windows 2000 Server en la red interna. Si es necesario, puede alojar los servidores DNS y DHCP en el equipo
servidor ISA.
Al configurar el servidor para que incluya un servidor DHCP, el Asistente para configurar su servidor inicia el Asistente para ámbito nuevo. Siga
las instrucciones de este asistente con el fin de definir el ámbito del servidor DHCP.
Volver a Contenido
3. Después de que el programa de instalación indique que ha terminado de determinar la configuración del sistema, en la página
Bienvenido, haga clic en Siguiente.
4. Si acepta los términos y condiciones indicados en el contrato de licencia de usuario, haga clic en Acepto los términos del contrato
de licencia, y, a continuación, en Siguiente.
❍ Servicios del servidor ISA. Los servicios que constituyen el servidor ISA.
❍ Administración del servidor ISA. La interfaz de usuario de Administración del servidor ISA.
❍ Recurso compartido de instalación de cliente firewall. Ubicación desde la que los equipos cliente pueden instalar el
software de cliente del servidor de seguridad. Se suele instalar en un equipo distinto al del equipo servidor ISA y, por tanto,
no forma parte de la opción Instalación típica. Firewall Client Share se puede instalar en equipos que utilicen Windows
Server 2003, Windows 2000 Server o Windows XP.
❍ Filtro de mensajes. Un componente que se configura para filtrar las palabras clave y los datos adjuntos de los mensajes de
correo electrónico. Este componente se debe instalar en un servidor de protocolo simple de transferencia de correo (SMTP,
Simple Mail Transfer Protocol)
Instalación típica instala los servicios del servidor ISA y la administración del servidor ISA. Instalación completa instala los
cuatro componentes. Instalación personalizada permite seleccionar los componentes que se van a instalar.
d. Seleccione uno o varios adaptadores que estén conectados a la red interna. Estas direcciones se incluirán en la red
interna que se define de forma predeterminada para el servidor ISA.
e. Borre la selección de Agregar los siguientes intervalos privados, a menos que desee agregar dichos intervalos a su
red interna.
f. Haga clic en Aceptar. Lea el mensaje del programa de instalación, haga clic en Aceptar, vuelva a hacer clic en Aceptar
para finalizar la configuración de la red interna y, a continuación, haga clic en Siguiente.
9. En la página Configuración de conexión de cliente firewall, indique si desea permitir conexiones no cifradas entre los clientes del
servidor de seguridad y el equipo servidor ISA. El software de cliente del servidor de seguridad de ISA Server 2004 utiliza cifrado, pero
las versiones anteriores no. Además, algunas versiones de Windows no admiten el cifrado. Puede seleccionar las siguientes opciones:
❍ Permitir conexiones de cliente firewall no cifradas. Para los clientes del servidor de seguridad que se ejecuten en
versiones de Windows no compatibles con el cifrado a fin de que se conecten al equipo servidor ISA.
❍ Permitir que los clientes firewall que ejecutan versiones anteriores del software de cliente firewall se conecten
al servidor ISA. Esta opción sólo está disponible si se selecciona la primera opción.
10. En la página Servicios, revise la lista de los servicios que se interrumpirán o deshabilitarán durante la instalación del servidor ISA.
Para continuar con el proceso de instalación, haga clic en Siguiente.
12. Una vez completada la instalación, si desea iniciar Administración del servidor ISA de inmediato, active la casilla de verificación
Invocar la administración de ISA Server y haga clic en Finalizar.
Volver a Contenido
Una vez realizada la instalación, el servidor ISA utiliza la configuración predeterminada de la tabla siguiente.
● Acceso a Internet. Define una relación NAT desde la red interna, la red de clientes de VPN en cuarentena
y la red de clientes de VPN hacia la red externa. El acceso se permite solamente si se configura la directiva
de acceso adecuada.
● De clientes de VPN hacia la red interna. Define una relación de red de ruta entre la red de clientes de
VPN y la red interna. El acceso se permite únicamente si se habilita el acceso de clientes de VPN.
● Reglas de directiva del sistema. Se trata de una serie de reglas que permiten que el equipo servidor ISA
interactúe con otros recursos de la red.
Publicación Los clientes externos no pueden obtener acceso a ningún servidor interno.
Encadenamiento de Web Regla predeterminada. Esta regla especifica que se recuperen todas las peticiones de clientes proxy Web
directamente de Internet.
Almacenamiento en caché El tamaño de la caché se establece en 0. Por lo tanto, todo el almacenamiento en caché queda deshabilitado.
Volver a Contenido
La siguiente tabla muestra las tareas habituales que puede realizar mediante ISA Server 2004 y las compara con la forma de llevarlas a cabo en
ISA Server 2000.
Volver a Contenido
Puede instalar el servidor ISA en equipos con un adaptador de red único. Normalmente, llevará a cabo esta tarea cuando otro servidor de
seguridad se encuentre en los límites de la red, conectando los recursos de la empresa a Internet. En este escenario de un adaptador único, el
servidor ISA se suele utilizar para almacenar en caché el contenido de Internet a fin de que lo usen los clientes de la red corporativa.
● Filtrado de paquetes IP
Esto puede producir que la función de seguridad del servidor ISA se vea limitada.
Volver a Contenido
El servidor ISA admite un entorno muy adaptable de múltiples redes y permite conectar de forma segura muchas redes con permisos de acceso
que pueden variar. En las siguientes secciones, se describen algunos escenarios de ejemplo que muestran el entorno y la funcionalidad de
múltiples redes. Observe que los escenarios no muestran el ámbito completo de las nuevas características incluidas en esta versión. Más bien,
muestran algunos de los escenarios de servidor de seguridad más habituales que puede implementar mediante el servidor ISA. Al llevar a cabo
los pasos del tutorial en un entorno de laboratorio sencillo, puede familiarizarse y sentirse cómodo con algunas de las características de ISA
Server 2004 y con la interfaz de usuario.
Le aconsejamos que siempre cree la configuración del servidor ISA en un entorno de laboratorio antes de probarla en producción.
En los escenarios se supone una configuración de laboratorio que conecta una red interna con Internet. Se publican varios servidores en una red
perimetral, también denominada DMA, zona desmilitarizada o subred protegida. Los clientes de la red privada virtual (VPN) pueden tener acceso
a los recursos de la red interna. Le recomendamos que configure tres redes aisladas en un entorno de laboratorio antes de implementar una
solución en un entorno de producción. El laboratorio utilizado en este tutorial de características está formado por los siguientes elementos:
● Una red que simula la red corporativa, denominada RedCorp. En el tutorial, RedCorp incluye este intervalo de direcciones: de 10.0.0.0 a
10.255.255.255.
● Una red que simula Internet, denominada InternetSimul. En el tutorial, InternetSimul incluye este intervalo de direcciones: de
192.168.0.0 a 192.168.255.255.
● Una red perimetral, denominada RedPerimetral. En el tutorial, RedPerimetral incluye este intervalo de direcciones: de 172.16.0.0 a
172.31.255.255.
● Un servidor, al que se hace referencia como ServidorWebInterno, con Windows Server 2003 y Servicios de Internet Information Services
(IIS) instalados. Este equipo está en el dominio RedCorp.
● Se supone que un controlador de dominio está ubicado en RedCorp. El controlador de dominio se utiliza para la autenticación de clientes.
● Hay un equipo, al que se hace referencia como Perímetro_IIS, con Windows Server 2003 instalado. IIS también está instalado en este
equipo. El equipo está en el dominio RedPerimetral.
● Hay un equipo, al que se hace referencia como Externo1, con Windows Server 2003 e IIS instalados. Este equipo está en InternetSimul.
● Un servidor Web, al que se hace referencia como ServidorWebExterno. Este equipo está en InternetSimul.
● Hay un equipo, al que se hace referencia como ISA_1, con Windows Server 2003 e ISA Server 2004 instalados. Tiene tres adaptadores de
red instalados:
❍ La dirección IP del adaptador conectado a RedCorp es 10.0.0.1.
Nota: No hay servidores DNS descritos en la configuración. En el escenario, se supone que está instalado un servidor DNS en el controlador de
dominio de RedCorp. Asimismo, se supone que existe una resolución de nombres en cada red, pero no entre las redes.
La configuración sería parecida en un entorno de producción. Las diferencias radicarían en el uso de la red externa definida del servidor ISA
predeterminado, que representa Internet, en vez de en InternetSimul, y en el uso de los intervalos de direcciones IP reales de las redes interna
y perimetral.
Se necesitan distintos equipos para probar los diversos escenarios. En la siguiente tabla se muestran los equipos necesarios para cada escenario.
Antes de que empiece a configurar los siguientes escenarios, compruebe que las tablas de enrutamiento de los equipos están configuradas
adecuadamente. En cada red, la puerta de enlace predeterminada se debe establecer en la dirección IP del adaptador del equipo servidor ISA
para dicha red. Por ejemplo, para establecer la puerta de enlace predeterminada de Perímetro_IIS, escriba lo siguiente en el símbolo del sistema
del equipo de Perímetro_IIS:
Volver a Contenido
En este escenario se muestra la característica de exportación del servidor ISA. Puede guardar toda la configuración del equipo servidor ISA, o
partes de ella, en un archivo .xml. De esta forma, puede duplicar toda o parte de una configuración de un equipo servidor ISA a otro, o bien
preservar una configuración antes de realizar cambios sustanciales, para poder revertir a una configuración anterior.
En este escenario, exportará la configuración del equipo servidor ISA a un archivo .xml antes de efectuar alguno de los cambios asociados a los
escenarios siguientes. Para exportar la configuración, realice los siguientes pasos:
1. Abra Microsoft ISA Server Management y haga clic en ISA_1.
2. En el panel de tareas, en la ficha Tareas, haga clic en Exportar la configuración del servidor ISA a un archivo. De esta forma
exportará la configuración de ISA_1, tal y como está en el momento de la exportación.
3. En Exportar configuración, en Guardar, seleccione la ubicación en la que desee guardar el archivo de exportación. En Nombre de
archivo, escriba el nombre de archivo del archivo .xml al que desee exportar la configuración, como MiConfigPred.xml, y haga clic
en Exportar.
Notas Puede decidir exportar la configuración de los permisos de usuario seleccionando Exportar configuración de permisos de
usuario. Esta configuración contiene las funciones de seguridad de los usuarios del servidor ISA, por ejemplo, que indican los
usuarios con permisos administrativos.
Si desea exportar información confidencial, seleccione Exportar información confidencial. Si lo hace, la información confidencial
se cifrará durante el proceso de exportación. Si exporta información confidencial, se le indicará que proporcione una contraseña
durante el proceso de exportación. Necesitará esta contraseña cuando importe la configuración de la directiva de servidor de
seguridad.
4. Una vez finalizada la operación de exportación, haga clic en Aceptar para cerrar el cuadro de diálogo de estado.
Volver a Contenido
En este escenario, los clientes internos necesitan una conectividad segura a Internet. Se necesitan los siguientes equipos:
● ISA_1, con dos adaptadores de red como mínimo
2. En el panel de detalles, en la ficha Redes, se muestran los intervalos de direcciones incluidos en cada red.
3. Compruebe que sólo están incluidas las direcciones IP de los equipos de la red corporativa en la red interna.
Nota: Si es necesario, puede volver a configurar la red interna haciendo doble clic en Interna en la ficha Redes para abrir el
cuadro de diálogo Propiedades internas Seleccione la ficha Direcciones y, a continuación, utilice los botones Agregar y Quitar
para agregar o quitar los intervalos de direcciones de la red. También puede usar el botón Agregar adaptador para agregar todos
los intervalos de direcciones IP asociados a un adaptador de red en particular, o el botón Agregar privado con el fin de agregar
intervalos de direcciones privados.
4. Haga doble clic en Interna en la ficha Redes para abrir el cuadro de diálogo Propiedades internas. En la ficha Proxy Web,
compruebe que están seleccionadas las opciones Habilitar clientes proxy web y Habilitar HTTP, que está especificada la opción
Puerto HTTP, 8080 y, a continuación, haga clic en Aceptar .
2. En la ficha Reglas de red, haga doble clic en la regla Acceso a Internet para que se muestre el cuadro de diálogo Propiedades de
acceso a Internet .
3. En la ficha Redes de origen, compruebe que aparece Interna. De lo contrario, haga lo siguiente:
a. Haga clic en Agregar.
b. En Agregar entidades de red, haga clic en Redes, en Interna, en Agregar y, a finalmente, en Cerrar.
4. En la ficha Redes de destino, compruebe que aparece Externa. De lo contrario, haga lo siguiente:
a. Haga clic en Agregar.
b. En Agregar entidades de red, haga clic en Redes, en Externa, en Agregar y, a finalmente, en Cerrar.
7. En el panel de detalles, haga clic en Aplicar para aplicar los cambios, en caso de haber realizado alguno.
2. En la página Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Permitir a los clientes internos acceso HTTP y
HTTPS a Internet. A continuación, haga clic en Siguiente.
4. En la página Protocolos, en Esta se regla se aplica a, seleccione Protocolos seleccionados y, a continuación, haga clic en
Agregar.
5. En el cuadro de diálogo Agregar protocolos, expanda Protocolos comunes. Haga clic en HTTP, en Agregar, en HTTPS, en
Agregar y, finalmente, haga clic en Cerrar. A continuación, haga clic en Siguiente.
7. En el cuadro de diálogo Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Interna. Haga clic en Agregar
y, a continuación, en Cerrar. A continuación, haga clic en Siguiente.
9. En el cuadro de diálogo Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Externa. Haga clic en Agregar
y, a continuación, en Cerrar. A continuación, haga clic en Siguiente.
10. En la página Conjuntos de usuarios, compruebe que está especificada la opción Todos los usuarios. A continuación, haga clic en
Siguiente.
12. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados. Observe que pueden pasar unos segundos antes de
que se apliquen los cambios.
4. En Servidor proxy, active la casilla de verificación Utilizar un servidor proxy para su LAN.
5. En Dirección, escriba el nombre de equipo de ISA_1 y, en Puerto, escriba 8080. Si no hay ningún servidor DNS en la configuración
de laboratorio, utilice la dirección IP de ISA_1 en vez de su nombre.
Si el explorador muestra la página Web publicada en ServidorWebExterno, ClienteInterno1 obtuvo acceso a ServidorWebExterno y ha
configurado correctamente este escenario.
Volver a Contenido
En este escenario creará un conjunto de equipos en la red interna y le denegará el acceso a Internet. Se necesitan los siguientes equipos:
● ISA_1 con dos adaptadores de red como mínimo.
● ClienteInterno2 en RedCorp.
2. En el panel de tareas, seleccione la ficha Herramientas, elija Objetos de red, haga clic en Nuevo y después seleccione Conjunto de
equipos.
3. En Nombre, escriba el nombre del nuevo conjunto de equipos, como Conjunto de equipos restringido.
5. En el cuadro de diálogo Nuevo elemento de regla de intervalo de direcciones, proporcione un nombre para el intervalo de
direcciones, como Intervalo de conjunto de equipos restringido. Proporcione un intervalo de direcciones IP que incluya la dirección
de ClienteInterno2, como 10.54.0.0–10.55.255.255 y, a continuación, haga clic en Aceptar.
6. Haga clic en Aceptar para cerrar el cuadro de diálogo Nuevo elemento de regla de conjunto de equipos.
7. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.
8. Guarde la configuración de la red en un archivo .xml, de forma que si efectúa un cambio en la configuración que cambie o destruya
este objeto de red, pueda recuperar su configuración. En el panel de tareas, en la ficha Herramientas, seleccione Objetos de red,
expanda Conjuntos de equipos, haga clic con el botón secundario del mouse (ratón) en el conjunto de equipos que acaba de definir y
seleccione Exportar lo seleccionado. Elija una ubicación en la que guardar el archivo que contiene la información de configuración y
un nombre que describa su contenido, como Archivo de exportación de conjunto de equipos restringido. Haga clic en Exportar
para exportar la configuración.
9. Una vez finalizada la operación de exportación, haga clic en Aceptar para cerrar el cuadro de diálogo de estado.
permitirá el acceso si lee la regla de permitir de la red interna antes de leer la regla de denegación de conjunto de equipos restringido.
Para crear una regla de acceso que deniegue el acceso desde el conjunto de equipos restringido a la red externa, realice los siguientes pasos:
1. Haga clic en Directiva de firewall. En el panel de tareas, seleccione la ficha Tareas y haga clic en Crear nueva regla de acceso
para iniciar el Asistente para nueva regla de acceso.
2. En la página Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Denegar el acceso HTTP y HTTPS a Internet al
conjunto de equipos restringido. A continuación, haga clic en Siguiente.
4. En la página Protocolos, en Esta se regla se aplica a, seleccione Protocolos seleccionados y, a continuación, haga clic en
Agregar.
5. En el cuadro de diálogo Agregar protocolos, haga clic en Protocolos comunes. Haga clic en HTTP, en Agregar, en HTTPS, en
Agregar y, finalmente, haga clic en Cerrar. A continuación, haga clic en Siguiente.
7. En el cuadro de diálogo Agregar entidades de red, haga clic en Conjunto de equipos y, a continuación, seleccione Conjunto de
equipos restringido Haga clic en Agregar y, a continuación, en Cerrar. A continuación, haga clic en Siguiente.
9. En el cuadro de diálogo Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Externa. Haga clic en Agregar
y, a continuación, en Cerrar. A continuación, haga clic en Siguiente.
10. En la página Conjuntos de usuarios, compruebe que está especificada la opción Todos los usuarios. A continuación, haga clic en
Siguiente.
12. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.
13. Guarde la regla en un archivo .xml por si efectúa un cambio básico, como ejecutar un Asistente para plantillas de red, para que pueda
importar la regla. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la regla que acaba de definir y
seleccione Exportar lo seleccionado. Elija una ubicación en la que guardar el archivo que contiene la información de regla y un
nombre que describa su contenido, como Regla denegar Internet a conjunto de equipos restringido.xml. Haga clic en Exportar
para exportar la regla.
14. Una vez finalizada la operación de exportación, haga clic en Aceptar para cerrar el cuadro de diálogo de estado.
4. En Servidor proxy, active la casilla de verificación Utilizar un servidor proxy para su LAN.
5. En Dirección, escriba el nombre del equipo (o la dirección IP, si no tiene ningún servidor DNS configurado) de ISA_1 y en Puerto,
escriba 8080.
Si el explorador muestra una página de denegación de acceso, ha configurado el conjunto de equipos y la regla de denegación correctamente.
La regla de denegación de acceso creada aparece primero en la lista de reglas de acceso en el panel de detalles Directiva de firewall. Si la coloca
debajo de la regla Permitir a los clientes internos acceso HTTP y HTTPS a Internet (creada en el escenario anterior), el servidor ISA
evaluará primero esta regla y los equipos de Conjunto de equipos restringido obtendrán acceso a Internet. Para cambiar el orden de la regla de
denegación, haga clic con el botón secundario del mouse (ratón) en la regla y seleccione Bajar. Después de bajar esta regla de denegación
colocándola debajo de la regla de permitir y aplicar los cambios haciendo clic en el botón Aplicar en el panel de detalles, vuelva a probar el
acceso a Internet. Ahora ClienteInterno2 debe tener acceso a Internet.
Si el explorador muestra la página Web publicada en ServidorWebExterno, ClienteInterno2 obtuvo acceso a ServidorWebExterno y ha
configurado correctamente este escenario.
Volver a Contenido
4.4 Escenario 4: crear una red perimetral mediante el Asistente para plantillas de red
En este escenario, utilizará el Asistente para plantillas de red con el fin de crear una red perimetral.
Para configurarlo, realizará los siguientes pasos:
● 4.4.1 Crear una red perimetral
2. En el panel de tareas, en la ficha Plantillas, seleccione Perímetro de 3 secciones. De esta forma se inicia el Asistente para plantillas
de red.
4. En la página Exportar la configuración del servidor ISA, haga clic en Exportar si desea conservar la configuración actual. Con este
paso, puede revertir a la configuración actual importándola del archivo guardado. Si hace clic en Exportar, proporcione una ubicación
y un nombre de archivo descriptivo como Configuración anterior al perímetro de 3 secciones y haga clic en Exportar.
6. En la página Direcciones IP de red interna, utilice los botones Agregar y Quitar para asegurarse de que sólo se muestran las
direcciones IP de la red interna. Entre ellas se incluirían las direcciones IP de ClienteInterno1 y de la tarjeta adaptadora de red de
ISA_1 que conecta a la red interna. Haga clic en Siguiente.
7. En la página Direcciones IP de red perimetral, utilice los botones Agregar y Quitar para asegurarse de que sólo se muestran las
direcciones IP de la red perimetral. Entre ellas se incluirían las direcciones IP de Perímetro_IIS y de la tarjeta adaptadora de red de
ISA_1 que conecta a la red perimetral. Haga clic en Siguiente.
8. En la página Seleccione una directiva de firewall, seleccione Permitir acceso a Web limitado para crear una regla de acceso
desde la red interna a la externa (cuando haya finalizado el asistente) y, a continuación, haga clic en Siguiente.
10. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados mediante el asistente.
Nota: El Asistente para plantillas de red crea dos reglas de red: una que crea una relación de enrutamiento entre las redes
perimetral y externa (la regla Acceso a perímetro) y otra que crea una relación NAT entre las redes interna y perimetral (la regla
Configuración de perímetro). Compruebe que se crearon las reglas seleccionando la ficha Reglas de red del panel de detalles
Redes.
Las relaciones de enrutamiento son bidireccionales. Es decir, el enrutamiento va de origen a destino y viceversa. Las relaciones
NAT son unidireccionales. Es decir, el enrutamiento va de origen a destino.
2. Proporcione la ubicación y el nombre de archivo de la regla de acceso exportada, como Regla denegar Internet a conjunto de
equipos restringido.xml creado en el escenario 3 y, a continuación, haga clic en Importar. Cuando termine la importación, haga clic
en Aceptar.
3. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.
Nota Al importar una regla de acceso, también importa los elementos de regla a los que hace referencia, por lo que no hay
necesidad de importar el conjunto de equipos por separado. Puede importar estos elementos por separado si hace clic con el botón
secundario del mouse (ratón) en el tipo de elemento de regla del panel de tareas, en la ficha Herramientas y selecciona
Importar todos .
Volver a Contenido
En este escenario, se pondrá a disposición de los usuarios de Internet un servidor Web ubicado en la red perimetral.
Utilice las reglas de publicación de Web para publicar servidores Web. Estas reglas requieren escuchas de web, que atienden las peticiones de
Web.
Se necesitan los siguientes equipos:
● ISA_1, con tres adaptadores de red como mínimo.
2. En el panel de tareas, en la ficha Tareas, haga clic en Publicar un servidor Web para iniciar el Asistente para nueva regla de
publicación de web.
3. En la página Bienvenido, en Nombre de la regla de publicación de Web, escriba el nombre de la regla: Allow External to
Perimeter_IIS. Haga clic en Siguiente.
4. En la página Seleccionar acción de regla, seleccione Permitir y después haga clic en Siguiente.
5. En la página Definir sitio Web para publicar, en Dirección IP o nombre del equipo, escriba la dirección IP o el nombre del equipo
del servidor Web que se va a publicar y, a continuación, haga clic en Siguiente.
Nota: en la página Definir sitio Web para publicar, en Carpeta, puede especificar una carpeta específica para publicar.
6. En la página Detalles de nombre público, compruebe que está seleccionada la opción Este nombre de dominio. En el cuadro de
texto situado debajo de Este nombre de dominio, escriba el nombre de dominio público o la dirección IP del sitio Web publicado. Es
lo que escribirá el usuario en el campo de dirección del explorador para tener acceso al sitio Web. En una configuración de laboratorio
donde no hay ningún nombre que se resuelva, utilice la dirección IP del adaptador de red externo del equipo servidor ISA. Puede
especificar una carpeta, que se anexará al nombre y que se muestra en Sitio. Haga clic en Siguiente.
7. En la página Seleccionar escucha de Web, haga clic en Nueva para iniciar el Asistente para nueva escucha de web.
8. En la página Bienvenido de este asistente, en Nombre de la escucha web, escriba el nombre de la escucha de web: Listen on
Port 80 of External Network. A continuación, haga clic en Siguiente.
9. En la página Direcciones IP, seleccione Externa y después haga clic en Siguiente. Esta escucha atenderá las peticiones de la red
externa.
10. En la página Especificación de puerto, en Puerto HTTP, escriba 80. También puede seleccionar Habilitar SSL y un puerto SSL si
desea publicar en HTTPS. En este caso, deberá seleccionar un certificado en esta página mediante el botón Seleccionar. Haga clic en
Siguiente.
11. Revise la página de resumen y, a continuación, haga clic en Finalizar para cerrar el asistente.
13. En la página Conjuntos de usuarios, compruebe que aparece Todos los usuarios en Esta regla se aplica a las solicitudes de los
siguientes conjuntos de usuarios. Haga clic en Siguiente.
15. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.
Nota: Puede crear y modificar las escuchas de web independientemente de las reglas de publicación de Web. El acceso a las
escuchas de web existentes se realiza mediante la carpeta Escuchas de Web de la ficha Herramientas del panel de tareas
Directiva de firewall. Para crear una nueva escucha de web, en el panel de tareas Directiva de firewall, en la ficha Herramientas,
haga clic en Nueva y, a continuación, seleccione Escucha de web.
2. Compruebe que no está configurado ningún cliente proxy. Para ello, en el menú Herramientas, seleccione Opciones de Internet. En
la ficha Conexiones, haga clic en Configuración de LAN. Compruebe que no está activada ninguna de las siguientes casillas de
verificación: Detectar la configuración automáticamente, Usar secuencia de comandos de configuración automática ni Usar
un servidor proxy para su LAN. Haga clic en Aceptar para cerrar Opciones de Internet.
3. En Dirección, escriba la dirección IP del adaptador de red externo del equipo servidor ISA.
Si el cliente obtuvo acceso al sitio Web predeterminado en Perímetro_IIS, ha configurado correctamente este escenario.
Volver a Contenido
En este escenario, se pondrá a disposición de los usuarios de Internet un servidor Web ubicado en la red interna. Se necesitan los siguientes
equipos:
● ISA_1, con dos adaptadores de red disponibles como mínimo.
2. En el panel de detalles, haga clic en la ficha Reglas de red. Puede comprobar la regla en el panel de detalles o abrir las propiedades
de la regla de la forma descrita en los siguientes pasos.
3. Haga doble clic en la regla Acceso a Internet para abrir Propiedades de acceso a Internet.
7. En la ficha Relación de redes, asegúrese de que está seleccionada la opción Traducción de direcciones de red.
2. En el panel de tareas, en la ficha Tareas, haga clic en Publicar un servidor Web para iniciar el Asistente para nueva regla de
publicación de Web.
3. En la página Bienvenido, en Nombre de la regla de publicación de Web, escriba el nombre de la regla: Allow External to
InternalWebServer. Haga clic en Siguiente.
4. En la página Seleccionar acción de regla, seleccione Permitir y después haga clic en Siguiente.
5. En la página Define sitio Web para publicar, en Dirección IP o nombre del equipo, escriba la dirección IP o el nombre del equipo
del servidor Web que se va a publicar. En una configuración de laboratorio donde no hay ningún nombre que se resuelva, utilice la
dirección IP del adaptador de red externo del equipo servidor ISA. Haga clic en Siguiente.
Nota: en la página Definir sitio Web para publicar, en Carpeta, puede especificar una carpeta específica para publicar. En una
configuración de laboratorio en la que no hay ningún servidor DNS, utilizaría las mismas direcciones IP para identificar los
servidores Web tanto perimetral como interno, de tal forma que sólo habrá uno disponible a la vez, basándose en la regla que
aparece primero en el orden de reglas. En un entorno de producción, o en una implementación de laboratorio con un servidor DNS,
el uso de nombres que se resuelven mediante un servidor DNS eliminaría este problema.
6. En la página Detalles de nombre público, compruebe que está seleccionada la opción Este nombre de dominio. En el cuadro de
texto situado debajo de Este nombre de dominio, escriba el nombre de dominio público o la dirección IP del sitio Web publicado. Es
lo que escribe el usuario en el campo de dirección del explorador para tener acceso al sitio Web. Puede especificar una carpeta, que se
anexará al nombre y que se muestra en Sitio. Haga clic en Siguiente.
7. En la página Seleccionar escucha de web, haga clic en Nueva para iniciar el Asistente para nueva escucha de web.
8. En la página Bienvenido de este asistente, en Nombre de la escucha web, escriba el nombre de la escucha de web: Listen on
Port 80 of External Network. A continuación, haga clic en Siguiente.
9. En la página Direcciones IP, seleccione Externa y después haga clic en Siguiente. Esta escucha atenderá las peticiones de la red
externa.
10. En la página Especificación de puerto, en Puerto HTTP, escriba 80. También puede seleccionar Habilitar SSL y un puerto SSL si
desea publicar en HTTPS. En este caso, deberá seleccionar un certificado en esta página mediante el botón Seleccionar. Haga clic en
Siguiente.
13. En la página Conjuntos de usuarios, compruebe que aparece Todos los usuarios en Esta regla se aplica a las solicitudes de los
siguientes conjuntos de usuarios. Haga clic en Siguiente.
15. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.
Si el cliente obtuvo acceso al sitio Web predeterminado en ServidorWebInterno, ha configurado correctamente este escenario.
Volver a Contenido
En este escenario, el servidor ISA actúa como el servidor de VPN para los clientes remotos que se conectan a la red corporativa (interna). Se
necesitan los siguientes equipos:
● ISA_1, con dos adaptadores de red disponibles como mínimo.
2. En el panel de tareas, en la ficha Tareas, haga clic en Habilitar acceso de clientes de VPN.
3. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.
Note: Durante la instalación, el servidor ISA crea una regla de red que establece una relación de enrutamiento entre los clientes
de VPN y la red interna. Si desea que algunos clientes de VPN puedan tener acceso a otras redes, debe crear una regla de red
adicional. La relación entre el cliente de VPN y la red interna es una relación de enrutamiento, ya que el objetivo es que el cliente
de VPN se convierta de forma transparente en parte de la red interna y que pueda ver los equipos de esta red.
Si la configuración de laboratorio no incluye ningún servidor DHCP que asigne direcciones IP a los clientes de VPN, para crear un grupo de
direcciones estáticas desde el que se asignarán las direcciones, realice los siguientes pasos:
1. En Microsoft ISA Server Management, expanda ISA_1 y haga clic en Redes privadas virtuales (VPN).
2. En el panel de tareas, en la ficha Tareas, debajo del título Configuración de VPN general, haga clic en Definir asignación de
direcciones. De esta forma se abre la ficha Asignación de direcciones de la página Propiedades de las redes privadas virtuales
(VPN).
4. Haga clic en Agregar. En el cuadro de diálogo Propiedades del intervalo de direcciones IP, proporcione un intervalo de
direcciones IP que se asignarán a los clientes de VPN. Observe que estas direcciones no pertenecen al intervalo de direcciones incluidas
en la red interna.
6. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.
2. En el panel de tareas, en la ficha Tareas, haga clic en Crear nueva regla de acceso para iniciar el Asistente para nueva regla de
acceso.
3. En la página Bienvenido, escriba el nombre de la regla. Por ejemplo, escriba Permitir acceso de clientes de VPN a interna. A
continuación, haga clic en Siguiente.
5. En la página Protocolos, en Esta regla se aplica a, seleccione Todos los protocolos salientes, para que los clientes de VPN
puedan tener acceso a la red interna en cualquier protocolo. Haga clic en Siguiente.
7. En Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Clientes de VPN. Haga clic en Agregar y, a
continuación, en Cerrar. En la página Orígenes de regla de acceso, haga clic en Siguiente.
9. En Agregar entidades de red, haga clic en Redes y, a continuación, seleccione Interna. Haga clic en Agregar y, a continuación, en
Cerrar. En la página Destinos de regla de acceso, haga clic en Siguiente.
10. En la página Conjuntos de usuarios, compruebe que está especificada la opción Todos los usuarios. Haga clic en Siguiente.
12. En el panel de detalles, haga clic en Aplicar para aplicar los cambios efectuados.
Note: Puede restringir los protocolos que los clientes de VPN pueden utilizar al comunicarse con la red interna seleccionando
Protocolos seleccionados en el paso 5. En este caso, asegúrese de incluir el protocolo Consulta DNS, para que los clientes de
VPN puedan resolver los nombres de la red interna.
También podría crear una regla que permitiera que sólo algunos usuarios tuvieran acceso a equipos específicos, o a partes de la
red corporativa definidas por separado desde la red interna.
2. En Administración de equipos, haga clic en Administración del equipo (local), expanda Herramientas del sistema y haga clic en
Usuarios locales y grupos.
3. En el panel de detalles, haga clic con el botón secundario del mouse en Usuarios y, a continuación, haga clic en Usuario nuevo.
5. En el panel de detalles, haga doble clic en Usuarios para mostrar la lista de usuarios, haga clic con el botón secundario del mouse en
Usuario nuevo y después haga clic en Propiedades.
2. En el menú Archivo, seleccione Nueva conexión con el fin de iniciar el Asistente para conexión nueva.
4. En la página Tipos de conexión de red, seleccione Conectarse a la red de mi lugar de trabajo y, a continuación, haga clic en
Siguiente.
5. En la página Conexión de red, seleccione Conexión de red privada virtual y después haga clic en Siguiente.
6. En la página Nombre de conexión, en Nombre de la organización, escriba Conectar a ISA_1y, a continuación, haga clic en
Siguiente.
7. En la página Red pública, seleccione si desea que Windows marque automáticamente la conexión inicial a la red, así como la conexión
que se va a marcar y, a continuación, haga clic en Siguiente.
8. En la página Selección de servidor VPN, en Nombre de host o dirección IP, proporcione la dirección IP de la tarjeta adaptadora
de red externa de ISA_1 y, a continuación, haga clic en Siguiente.
9. En la página Disponibilidad de conexión, seleccione Sólo para mi uso para asegurarse de que la conexión VPN sólo se usará
cuando esté conectado al equipo cliente y, a continuación, haga clic en Siguiente.
2. En ISA_1\Nombre de usuario, escriba el nombre del usuario creado en la sección 4.7.4. A continuación, haga clic en Conectar.
Le aconsejamos que deshabilite los elementos de la directiva del sistema que no va a utilizar. En este escenario se muestra cómo deshabilitar la
administración remota de Terminal Server del servidor ISA.
Para deshabilitarla, realice los siguientes pasos:
1. En Microsoft ISA Server Management, expanda el nodo del equipo servidor ISA y haga clic en Directiva de firewall.
2. En el panel de tareas, en la ficha Tareas, haga clic en Editar directiva del sistema para abrir el Editor de directivas del sistema.
4. En la ficha General, desactive la casilla de verificación Habilitar y después haga clic en Aceptar.
Volver a Contenido
En este escenario se muestra la característica de exportación e importación del servidor ISA. Este escenario está relacionado con el Escenario 1,
Exportar una configuración.
Llevará a cabo los siguientes procedimientos:
1. 4.9.1 Exportar la configuración actual
2. En el panel de tareas, en la ficha Tareas, haga clic en Exportar la configuración del servidor ISA a un archivo. De esta forma
exportará la configuración de ISA_1, tal y como está en el momento de la exportación.
3. En Exportar configuración, en Guardar, seleccione la ubicación en la que desee guardar el archivo de exportación. En Nombre de
archivo, escriba el nombre de archivo del archivo .xml al que desee exportar la configuración, como MiConfigNueva.xml, y haga clic
en Exportar.
Notas: Puede decidir exportar la configuración de los permisos de usuario seleccionando Exportar configuración de permisos
de usuario. Esta configuración contiene las funciones de seguridad de los usuarios del servidor ISA, por ejemplo, que indican los
usuarios con permisos administrativos.
Si desea exportar información confidencial, seleccione Exportar información confidencial. Si lo hace, la información confidencial
se cifrará durante el proceso de exportación. Si exporta información confidencial, se le indicará que proporcione una contraseña
durante el proceso de exportación. Necesitará esta contraseña cuando importe la configuración de la directiva de servidor de
seguridad.
4. Una vez finalizada la operación de exportación, haga clic en Aceptar para cerrar el cuadro de diálogo de estado.
2. En el panel de tareas, en la ficha Tareas, haga clic en Importar de un archivo de configuración de servidor ISA.
3. En Importar configuración, en Nombre de archivo, escriba o busque el nombre de archivo del archivo .xml creado en el escenario
1 (MiConfigPred.xml) y, a continuación, haga clic en Importar. Si va a importar información confidencial, se le indicará que
proporcione una contraseña en el cuadro de diálogo Escriba la contraseña para abrir el archivo.
Nota: Puede decidir importar la configuración de los permisos de usuario seleccionando Importar configuración de permisos
de usuario. También puede decidir importar la configuración de la unidad de caché y la de uso de certificados SSL seleccionando
Importar configuración de la unidad de caché y certificados SSL. Puede que este procedimiento no sea correcto al copiar
una directiva a otro servidor, ya que estas selecciones tienden a ser específicas de un servidor en particular.
4. Compruebe en el panel de detalles de los nodos Directiva de firewall y Redes que ya no están la red perimetral ni las reglas creadas en
los escenarios 2 a 7. Si es así, la importación se realizó correctamente y el equipo servidor ISA ya está configurado como lo estaba
antes de finalizar los escenarios 2 a 7.
5. Repita el procedimiento; esta vez importe la configuración guardada a MiConfigNueva.xml. Ahora aparecerán la red perimetral y las
reglas creadas en los escenarios 2 a 7.
6. En el panel de detalles, haga clic en Aplicar para aplicar los cambios, si desea que se apliquen los cambios realizados mediante la
operación de restauración.
Volver a Contenido
La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta
a modificaciones sin previo aviso. A menos que se indique lo contrario, las empresas, organizaciones, productos, personas y
eventos descritos en el presente documento son ficticios y no se pretende relacionarlos con ninguna empresa, organización,
producto, persona o evento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables.
Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida
de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación o de otra manera) con ningún
propósito, sin la previa autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna limitación a los
derechos de propiedad industrial o intelectual.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor u otros derechos de propiedad industrial
o intelectual sobre el contenido de este documento La entrega de este documento no le otorga ninguna licencia sobre dichas
patentes, marcas, derechos de autor u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en un
contrato escrito de licencia de Microsoft.
© 2004 Microsoft Corporation. Reservados todos los derechos.
Microsoft, Active Directory, NetMeeting, Outlook, Windows, Windows Media® y Windows NT® son marcas registradas o marcas
comerciales de Microsoft Corporation en Estados Unidos y/o en otros países o regiones.
Volver a Contenido